Jump to content

LDAP vs LDAPS via TLS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community!


Ich hätte da gerne die Meinung anderer zu einem etwas schwierigeren Thema.

Aktuell haben wir in unserer Domäne (2012 R2 Functionlevel) nur LDAP ohne verschlüsselung im Einsatz.

 

Die Windows Anmeldung wird ja mittels Kerberos Tickets abgewickelt.

 

Jetzt kam von einem Kollegen der Einwand das wir schnellstmöglich LDAPS aktiverien sollten weil es ihm gelungen ist, einige Kennwörter im Klartext mitzulesen.
Bei den Anmeldevorgängen der Clients in der Domäne ist nicht nicht möglich - vermutlich handelt es sich hier um Drittsysteme die via LDPA

bei einem DC Authentifizierungsanfragen absetzten.

 

Jetzt kamen die ersten Rufe auf, die LDAP via TLS fordern. So weit so gut.
So weit ich informiert bin, ist ein parallelbetrieb LDAP und LDAPS möglich. Jedoch frage ich nach der Sinnhaftigkeit.
Wenn ich beides erlaube und nicht sinningerweise das weniger Sichere LDAP verbiete und LDAPS erzwinge.....

 

Kann, muss aber nicht.
Aus Sicherheitstechnischen Gründen wäre es sinnvoller LDAPS zu erzwingen.

Explizit geht es um einen Anwendungsfall. Das Produkt NetScaler von Citrix wird aktuell nur mit LDAP genutzt. Jetzt sollen die USER auch von extern die AD-Kennwörter ändern können.
Das widerum setzt LDAPS voraus. Über die Sinnhaftigkeit könnte man auch wieder streiten.... ^^

 

Wie verhält es sich mit alten Betriebssystemen und LDAPS?
Unterstützen beispielsweise Windows XP LDAPS via TLS?  Habe dazu leider nichts gefunden.
Bitte auch keine Dikussion wegen XP - ich hab mir deswegen den Mund auch schon fusselig geredet...aber Produktionsgewerbe ist leider anders als ein schlichtes Office ^^

 

Was würdet ihr mir empfehlen?
 

Ich sag schon mal Danke!

VG
Th

 

 

Link zu diesem Kommentar

Du kannst LDAP nicht verbieten, denn dann wird dein AD an sich nicht mehr so rund laufen. Denn auf Port 389 wird zumindest auch die Verwendung von LDAPs und LDAP/TLS annonciert. Evtl. hilft dir das hier weiter:

https://www.faq-o-matic.net/2018/07/16/ldap-signing-auf-domnencontrollern-erzwingen/ und wie man sowas "ausliest" ;)

https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar

Du suchtst "Simple Bind verhindern" :-) (Steckt in den dsHeuristics, wenn ich das noch richtig weiß.) Windows-Clients in der Domäne haben damit kein Problem - die verwenden "Secure Channel", der ist verschlüsselt.

Damit kannst Du aber NICHT verhindern, daß ein Drittclient per LDAP mit User/Kennwort ankommt, damit verhinderst Du nur, daß er damit auch noch Erfolg hat.

LDAPS verpackt das dann wenigstens in SSL/TLS, so daß es nicht mitgelesen werden kann.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...